【システム監査とは?】情報セキュリティ監査との違いや重要性と実施ポイントを分かりやすく解説!

最終更新日 2024年9月29日

システム監査制度と情報セキュリティ監査制度について

記事の概要

企業の情報資産を守るためには、全社的にセキュリティ対策を「マネジメント(管理・運用)」することが重要です。
その際、もし国や団体が提供する情報セキュリティに関する制度や対策があれば、それを積極的に活用することが有効です。

企業が情報セキュリティを保護し、効果的にセキュリティ対策を管理・運用するために用意されている制度や施策は大きく分けて6つがありますが、この記事では6つのうち「システム監査制度」「情報セキュリティ監査制度」について解説します。

その他の4つの制度や施策である「ISMS認証制度」「情報セキュリティマネジメント試験」「内部統制報告制度」「プライバシーマーク制度」については以下の記事で解説しています!

「システム監査制度」「情報セキュリティ監査制度」についてこの記事で説明する内容は以下です。

  1. システム監査制度の概要
  2. システム監査機関
  3. システム監査とは
  4. システム監査基準とシステム管理基準
  5. システム監査のプロセス
  6. 情報セキュリティ監査制度の概要
  7. システム監査と情報セキュリティ監査制度の違い
  8. 保証型監査とは
  9. 助言型監査とは

この記事はこんな人にオススメ!

● 情報セキュリティ監査やシステム監査の担当者など、監査制度の理解や適用方法を知り、効果的な監査計画を立てたい人!

● システムやセキュリティ監査の実施方法を学びたい人!

● 企業の内部統制や規制遵守を強化したい人!

● 情報安全確保支援士試験を受験する人!

システム監査制度

システム監査制度の概要

一言で簡単に言うと

システム監査制度は、企業の情報システムが正しく動作しているか、リスク管理やセキュリティ対策がしっかりしているかをチェックする仕組みです。

目的は、システムが安全で、業務の目標達成に役立つかを確認し、問題があれば改善を促すことです。

もう少し詳しく言うと

システム監査制度とは、組織の情報システムが適切に設計、導入、運用されているか、また、そのシステムが経営目標を達成するために十分な有効性、信頼性、セキュリティを確保しているかを評価、検証するプロセスです。

システム監査の目的は、情報システムに関連するリスクの識別と管理を支援し、内部統制やコンプライアンスが順守されているかどうかを確認することです。

システム監査制度自体は、特定の一者が作成したものではなく、技術の進化や企業の情報システムの利用が広まるにつれて、さまざまな組織や政府、専門機関が協力しながら発展してきた概念です。

システム監査制度は「企業の情報システムが正しく動作しているか、リスク管理やセキュリティ対策がしっかりしているかをチェックする仕組み」ですが、具体的にはシステム監査のプロセス全体を指しており、以下のようなイメージになります。

システム監査制度のプロセスイメージ図

身近なものに例えると!

システム監査制度を身近なもので例えると、「車の定期点検」に似ています。

車の定期点検では、エンジンやブレーキ、タイヤなどが正常に機能しているか、必要なメンテナンスが行われているか、安全に走行できる状態かを確認します。これと同じように、システム監査では、会社の情報システムがきちんと機能しているか、リスクやセキュリティが十分に管理されているかを定期的にチェックします。

どちらも、事前に問題を見つけて対処することで、大きなトラブルや事故を防ぐ役割を果たしています。

システム監査機関

システム監査を提供する主な監査機関には、外部監査を専門とする企業や、独立した第三者機関があります。

大手監査法人

  • デロイト トウシュ トーマツ(Deloitte)
  • プライスウォーターハウスクーパース(PwC)
  • KPMG
  • アーンスト・アンド・ヤング(EY)

これらの企業は「Big Four」と呼ばれ、グローバルに展開する大手監査法人で、
システム監査を含む幅広い監査サービスを提供しています。主に大企業や国際的な企業に向けたサービスが中心です。

独立系のIT監査企業

  • ラック(LAC)
  • NRIセキュアテクノロジーズ
  • 日立システムズ
  • SCSK

これらの企業は、特にITや情報システムの分野に特化した監査を提供しており、中小企業や特定の業界向けのサービスもあります。
企業の情報システムに関する監査やセキュリティ対策の検証が主なサービスです。

ISACAやIIAの認定監査人

  • ISACA(Information Systems Audit and Control Association):
    世界的なITガバナンスや監査に関する資格を提供する組織で、
    CISA(Certified Information Systems Auditor)という認定資格を持つ監査人がシステム監査を行う場合もあります。
  • IIA(The Institute of Internal Auditors):
    内部監査の専門組織で、システム監査も含む内部統制の監査が可能です。

システム監査に必要な料金の相場

一般的な料金の目安は次の通りです。

大企業向けの大手監査法人のシステム監査:
数百万円~数千万円が相場です。大規模なシステムや国際的な監査になると、料金が高額になります。

中小企業向けの独立系監査企業:
100万円~500万円が相場です。中小企業や特定のシステムに対する監査は、比較的低コストで行うことができます。

特定のシステムやセキュリティ監査:
数十万円~200万円が相場です。限定的な範囲や特定のセキュリティチェックに対する監査は、範囲が狭いため比較的低コストで済むことがあります。

システム監査とは

一言で簡単に言うと

システム監査とは、企業や組織が利用している情報システム(コンピュータシステムやネットワークなど)が適切に管理されているか、問題がないかを確認するための活動です。

もう少し詳しく言うと

システム監査は、企業や組織の情報システム(ハードウェア、ソフトウェア、ネットワーク、データベースなど)が適切に管理・運用され、業務目的に沿って効果的に機能しているかを評価する活動です。

システム監査の目的

システム監査の主な目的は、情報システムが以下の要件を満たしているかを確認することです。

  • 法令遵守(コンプライアンス)
    情報システムの運用が法令や社内規程に違反していないかを確認します。
  • セキュリティ
    システムが不正アクセス、情報漏洩、ウイルスなどの脅威から適切に保護されているかを確認します。
  • 運用の効率性と有効性
    システムが業務を効率的にサポートしているか、無駄や非効率な運用がないかを確認します。
  • 信頼性
    システムが安定して動作し、必要な情報を正確に提供できるかを確認します。

システム監査の種類

システム監査には、以下のように4つの種類があります。

  • 内部監査
    • 企業や組織内部の専門部署(内部監査部門)が行います。
    • 組織内のルールやポリシーの遵守状況を確認し、内部の問題点を明らかにします。
  • 外部監査
    • 外部の監査法人や専門家が行います。
    • 第三者の視点で客観的に監査を行い、信頼性のある結果を提供します。
  • コンプライアンス監査
    • システムが法律や業界規制に従って運用されているかを確認します。
    • 特に個人情報保護や金融関連のシステムでは重要です。
  • 業務プロセス監査
    • システムが業務プロセスを適切にサポートしているか、業務フローに無駄がないかを確認します。

経済産業省によるとシステム監査とは以下のように定義されています。

システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に
基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に
情報システム 1のガバナンス、マネジメント、コントロールの適切性等に対する
保証を与える、又は改善のための助言を行う監査の一類型である。
また、システム監査は、情報システムにまつわるリスク(以下「情報システム
リスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場の
システム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務
活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標
達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的と
する

system_kansa_h30.pdf (meti.go.jp)

システム監査基準とシステム管理基準

システム監査は、システム監査基準とシステム管理基準に従って行われます。

システム管理基準は、情報システムの運用・管理に関する具体的な指針を提供し、
システム監査基準はその運用状況が適切であるかどうかを監査するための評価基準を提供します。

この2つの基準に沿って、企業のシステムが安全で効果的に運用されているかを確認します。

項目説明
システム管理基準システム管理の実践規範です。
システム管理基準は、企業が情報システムを案円で効率的に運用、管理するためのルールやガイドラインです。
これに基づいて、システムの運用方法やセキュリティ対策、トラブル対応が適切に行われるように指針を示しています。
システム監査基準システム監査人の行為規範です。
システム監査基準は、情報システムが正しく運用されているかどうかをチェックするためのルールやガイドラインです。
これに基づいて、システムが安全で、リスク管理者内部統制が適切に行われているかを評価します。
監査人がシステムの問題点を見つけても改善を促すための基準です。

システム監査のプロセス

システム監査のプロセスは、「計画」→「調査」→「評価」→「報告」→「フォローアップ」という流れで行われます。
各段階でシステムの運用状況を確認し、リスクや問題点を特定して改善提案を行うことが目的です。

1.監査計画の策定
・監査範囲の決定(対象となるシステムや業務プロセス)
・監査の目的や目標の設定
・監査スケジュールの策定
・必要なリソースの割り当て(監査チームの選定)
2.予備調査
・システムの運用状況のヒアリング
・文書の確認(ポリシーや手順書など)
・システムの構成やリスクの確認
・監査で重点的に確認する項目の選定
3.詳細調査(フィールドワーク)
・システムのデータやログの確認
・関連資料や記録の分析
・関係者へのインタビュー
・セキュリティ対策やリスク管理の実施状況の確認
4.評価と分析
・収集したデータや資料を評価
・リスクや問題点の特定
・改善が必要な箇所の抽出
・システム運用の適正性の判断
5.監査報告書の作成
・監査の結果やリスクの評価を文書化
・改善提案や推奨される対策を提示
・経営層や関係者への報告
6. フォローアップ
・改善策の実施状況の追跡
・必要に応じて追加監査を実施
・改善結果の報告

身近なものに例えると!

システム監査のプロセスは、「健康診断」に似ています。

健康診断では、体の状態をチェックして問題がないかを確認し、必要があれば改善方法を提案します。システム監査もこれと同様に、情報システムの「健康状態」を調べ、問題があれば改善策を示します。

以下のように、それぞれの段階が健康診断とよく似ています。

0. フォローアップ = 再診や改善指導
健康診断後、異常があれば再検査や治療が行われるように、システム監査でも問題があればフォローアップし、改善状況を確認します。
このように、システム監査のプロセスは、システムの「健康診断」とも言えるもので、事前の調査から問題点の指摘、改善までを一貫して行う流れが健康診断と非常に似ています。

1.監査計画の策定 = 健康診断の予約・準備
健康診断の目的や検査項目を決めるのと同じように、システム監査でもどのシステムやプロセスを重点的にチェックするかを計画します。

2.予備調査 = 問診
健康診断で行う問診(生活習慣や既往歴の確認)と同じように、監査でもシステムの概要や運用状況、リスクについて事前に調査します。

3.詳細調査 = 健康診断の検査
健康診断で血液検査や心電図などの詳しい検査をするように、システム監査では実際のシステムのデータや運用の詳細をチェックします。

4.評価と分析 = 検査結果の評価
健康診断の結果を医師が評価して、異常がないか確認するように、システム監査でもシステムの運用が適切かどうかを評価し、問題点を見つけます。

5.監査報告書の作成 = 健康診断結果の報告とアドバイス
健康診断の結果がレポートで示され、必要なら生活習慣の改善を提案されるように、システム監査では監査報告書が作成され、改善策が提案されます。

情報セキュリティ監査制度

情報セキュリティ監査制度の概要

一言で簡単に言うと

情報セキュリティ監査制度は、外部の専門家が企業や組織のセキュリティ対策をチェックし、問題がないかを確認する仕組みです。
これにより、リスクを減らし、法律や規則にちゃんと従っているかを保証します。

もう少し詳しく言うと

情報セキュリティ監査制度とは、企業や組織が自らの情報セキュリティ対策が適切であるかどうかを第三者機関が監査し、
評価する制度
です。

これにより、情報セキュリティのリスクを減らし、法律や規則に準拠しているかを確認することが目的です。

情報セキュリティ監査制度では、保証型監査と、助言型監査の両方が活用できます。

身近なものに例えると!

情報セキュリティ監査制度を別の身近なものに例えると、「防犯設備のチェック」に似ています。

会社や組織は、情報という「家宝」を守っていて、その宝が安全かどうか、きちんと守られているかを確認するのが情報セキュリティ監査です。防犯設備のチェックのように、第三者の専門家(=防犯のプロ)が、ドアや窓のロック(アクセス制御)や監視カメラ(監視システム)が正しく動いているかを点検します。不備があれば修正し、泥棒に入られないように強化します。

このように、情報という「宝」を守るための「防犯チェック」が、情報セキュリティ監査制度です。

システム監査と情報セキュリティ監査制度の違い

情報セキュリティ監査制度とシステム監査制度の違いは、監査の対象や目的にあります。
簡単に言うと、以下のような違いがあります。

項目情報セキュリティ監査制度システム監査制度
対象範囲情報セキュリティに特化した監査のため、主にデータの保護や不正アクセス防止など、情報の安全性に焦点を当てています。
セキュリティ対策やセキュリティポリシが適切かを評価しています。
システム全体を対象にした監査で、システムの開発、運用、管理が効果的かつ効率的かを評価します。
セキュリティだけでなく、システムの信頼性、コスト管理、運用効率なども含まれます。
目的企業や組織が情報を適切に保護しているか確認し、外部からの攻撃や内部不正などのリスクを軽減することが目的です。システムが全体として適切に機能しているか、組織の目標達成に貢献しているか、コストやパフォーマンス面で無駄がないか、適正な運用が行われているかを確認することが目的です。
監査項目z用法の保護レベル、セキュリティポリシの実行状況、アクセス制御、暗号化、脆弱性管理など、情報の安全性に関する項目が中心です。システム全体の管理方法、開発プロセス、運用体制、データの信頼性やパフォーマンス、費用対効果など、広範なシステム運用全般が対象です。

要するに、情報セキュリティ監査は「セキュリティ」に焦点を当てた診断で、
システム監査はシステム全体の運用や管理に焦点を当てた診断
と考えると分かりやすいです。

監査の分類

監査は、監査の目的やアプローチの違いにより、「保証型監査」と「助言型監査」に分類されます。
それぞれの種類について以下で説明します。

保証型監査とは

一言で簡単に言うと

保証型監査は、企業の情報セキュリティ対策が基準に合っていることを確認し、
外部に「この企業はセキュリティ対策がしっかりしている」と証明するための監査
です。

もう少し詳しく言うと

保証型監査とは、監査人が企業や組織の情報セキュリティ対策が一定の基準や規則に適合していることを
「保証する」監査
のことです。

この監査は、企業が適切なセキュリティ対策を実施していることを第三者に証明するためのものです。

保証型監査の特徴

保証型監査には以下のような特徴があります。

特徴

基準の遵守:
ISO/IEC 27001やJIS Q 27001など、国際標準や国内規格に基づいた基準に適合しているかをチェックします。

高い信頼性:
監査結果に基づいて、組織のセキュリティ体制が十分に整っていることを、外部の利害関係者(顧客や取引先)に対して保証します。これは、企業の信用力を高めるために重要です。

証明書の発行:
保証型監査に合格した場合、企業はその基準を満たしていることを証明するための認証や証明書を取得できる場合が多いです。これにより、企業はセキュリティ対策が外部に認められたことをアピールできます。

保証型監査の利用ケース

例えば、ある企業がISO 27001の認証を取得するために保証型監査を受け、その結果基準を満たしていれば、
ISO 27001認証が発行され、その企業が情報セキュリティの国際基準を遵守していることを保証することになります。

助言型監査とは

一言で簡単に言うと

助言型監査は、企業の情報セキュリティ対策について、どこを改善すればいいのか具体的なアドバイスをするための監査です。

もう少し詳しく言うと

助言型監査は、企業や組織の情報セキュリティ対策について、監査人が評価を行い、
改善点や具体的なアドバイスを提供する監査
です。

この監査は、問題点を指摘して改善するための手助けをすることが目的です。

助言型監査の特徴

保証型監査には以下のような特徴があります。

特徴

改善提案が主目的:
助言型監査では、企業が現在のセキュリティ対策を強化するための具体的な助言や提案が行われます。基準に必ずしも適合していなくても、問題解決に向けたアドバイスが重視されます。

柔軟な監査:
基準や規則に厳密に適合しているかを評価するというよりも、現状の課題やリスクを見つけ出し、将来的にどのように改善すればよいかという方向性を示すための監査です。

対話的なアプローチ:
監査人と企業が協力して、現状を分析し、改善策を立てるためのプロセスです。外部の第三者の視点での助言が得られます。

助言型監査の利用ケース

企業が新しいセキュリティ対策を導入する前に助言型監査を依頼し、現状のシステムがどこに脆弱性があるかを見てもらい、
それをどう強化すればよいかについてアドバイスを受ける、といった場面で活用されます。


この記事も参考になるかも!
この記事を書いた人!

ゴリタン

インフラエンジニアとして、ネットワークとサーバーの運用・保守・構築・設計に幅広く携わり、
現在は大規模政府公共データの移行プロジェクトを担当。

CCNPやLPICレベル3、AWSセキュリティスペシャリストなどの資格を保有しています。